Vijf fouten rond cybersecurity die kmo’s zwak maken

geld brand vuur

Ondanks alle risico’s van een slecht cybersecuritybeleid negeren kmo’s te vaak deze vijf basisregels om problemen te voorkomen.

Elke organisatie groot of klein is vatbaar voor cybercriminelen. Met de beste tools kan je nog gehackt worden, maar hoe meer fouten je maakt, hoe groter het risico wordt dat je prijs hebt in de nabije toekomst. Voor ons zit Eddy Willems. Hij is al sinds 1989 met cybersecurity bezig en werkt vandaag als security-evangelist bij G Data CyberDefense.

Terwijl we plaatsnemen op de stand van de fabrikant tijdens Cybersec Europe in Brussel in mei, zien we een gefrustreerde Willems die zijn hart moet luchten. “Het is toch ongelooflijk hoe we ons allemaal nog te gemakkelijk laten vangen. Ik kan daar echt woest van worden, in al die jaren hebben we weinig tot niets geleerd.”

Of je nu een eenmanszaak hebt, bij een kmo werkt of binnen enterprise: Willems zet vijf veelvoorkomende fouten in de schijnwerpers en verklapt meteen ook hoe je die kan voorkomen.

Fout 1: Trap niet in phishing, blijf regelmatig trainen

We trappen vandaag de dag nog altijd te vaak in phishing-aanvallen, of we dat nu willen of niet. Zeker gerichte aanvallen maken ons kwetsbaar. “Er zijn regelmatig datalekken die persoonlijke informatie bevatten. Die kunnen hackers gebruiken om persoonlijke phishing-berichten te sturen. Tel daarbij nog tal van zaken die je van heel wat mensen op sociale media kan terugvinden, en je bent vaak een vogel voor de kat”, benadrukt Willems. Lees hier hoe een phishing-aanval tot stand komt.

Een persoonlijk bericht zorgt ervoor dat phishing meer kans heeft op slagen. Cybercriminelen weten dat ook en worden steeds inventiever, zeker voor profielen die ze op het oog hebben om bedrijven te infiltreren. “80 procent van alle ransomware komt vandaag binnen via phishing-aanvallen. Dat is erg hè”, antwoordt hij kwaad. “CEO’s staan al te vaak te pronken met de beste tools die ze hebben ingekocht, maar het probleem zit hem meer bij de mens die getraind moet worden.”

80 procent van alle ransomware komt vandaag binnen via phishing-aanvallen. Dat is erg hè!

Eddy Willems, security-evangelist bij G Data CyberDefense

Dat trainen en blijven trainen is belangrijk voor elke organisatie groot of klein. Recent mocht G Data CyberDefense bij een grote verzekeraar een phishing-simulatie doorvoeren. Over een periode van een maand werden vier phishing-mails verstuurd. “40 procent van de werknemers heeft erop geklikt en de bijlage geopend. Dat is waanzin! Gelukkig heeft de CEO van dat bedrijf snel de ernst van het probleem ingezien en wordt er nu veel meer op training en preventie ingezet.”

Fout 2: Maak werk van multifactor authenticatie (MFA)

Enkel en alleen een wachtwoord gebruiken is vragen om problemen, dat is al jaren zo. Zeker als dat geen unieke wachtwoorden zijn voor elke toepassing door middel van een wachtwoordmanager. Nochtans kan je zelfs een zwak wachtwoord ijzersterk maken dankzij 2FA of MFA. “Dankzij MFA kan je de meeste ransomware-aanvallen perfect counteren en zet je hackers buitenspel”, maakt Willems duidelijk.

Hij ijvert er al maar dan tien jaar voor om de talrijke voordelen van MFA te benadrukken, maar volgens hem is de mens een koppig beest dat liever gebruiksgemak boven veiligheid wil. Daarom is hij blij dat Google, Apple en Microsoft de handen in elkaar hebben geslagen om inloggen zonder wachtwoord dankzij MFA te stimuleren met een gezamenlijk collectief via FIDO inlog-standaarden.

“Ik juich deze nieuwe samenwerking toe, ook al hadden ze dat voor mijn part 10 jaar geleden al mogen doen. Pas op: dit lost niet alle problemen op. Hackers zijn heel inventief en zullen via geavanceerde phishing-aanvallen proberen om ook deze te omzeilen.”

Fout 3: Patchen, patchen, patchen, blijf alles up-to-date houden

Bij de volgende fout hebben we spijt dat we van een kokende Eddy Willems geen foto hebben genomen, want hier komt de stoom pas uit zijn oren. “Patchen, patchen, patchen, waarom hebben we dat vandaag nog niet geleerd. Ik word daar kwaad van! Ik begrijp dat ook niet! Elk toestel dat aan het internet hangt, moet up-to-date zijn.”

Elk toestel dat aan het internet hangt, moet up-to-date zijn.

Eddy Willems, security-evangelist bij G Data CyberDefense

Ook niet elk apparaat moet een rechtstreekse internetverbinding krijgen volgens Willems. Je kan dat vaak prima oplossen met een VPN-verbinding of via het bedrijfsnetwerk. “Waarom connecteren mensen vandaag nog toestellen rechtstreeks op het internet? Omdat ze lui zijn of er niets van kennen. Dat is een groot probleem hè.” Goed dat hij even een slok water neemt, voor hij helemaal oververhit. Hij krijgt even rust wanneer een fan hem vraagt om een handtekening te zetten in zijn boek Het Virus dat ze recent had gekocht.

Fout 4: Zet overal securitytools op waar je kan, ook op je smartphone

We komen bij de vierde fout dichtbij een commerciële boodschap die Willems maar al te graag voor zijn werkgever pusht, maar we stoppen het er toch in omdat het relevant is om stil te staan bij security-tools op elk toestel, zolang het mogelijk is. “Er is niet voor elk toestel endpointbeveiliging, maar doe je best en installeer het op zoveel mogelijk toestellen van laptops tot smartphones en andere (rand)apparatuur.”

Hij wijst ook naar oude toestellen die minder worden gebruikt omdat ze traag zijn, maar toch geconnecteerd blijven met het internet ergens in een hoekje. “Schakel zo’n toestellen uit, zeker als dat servers zijn. Wees niet lui en vernieuw zulke toestellen met een degelijk securitybeleid of beveilig oudere hardware in plaats van ze wezenloos maar toch geconnecteerd achter te laten.”

Fout 5: Doe geen werk op een privé-pc, andersom kan mits goed permissiebeleid

Werk en privé hou je best gescheiden, maar dat geldt ook de laptop die je gebruikt. Doe nooit werkzaken op een privélaptop, dat is gevaarlijk. Andersom mag je op een werklaptop wel privézaken doen van Willems, onder voorbehoud dat de permissies juist zijn ingesteld. “Wie binnen een kmo werkt heeft vaak administrator-rechten, waarmee je een vogel voor de kat bent. Blijf van zo’n laptops privé af, of het loopt vroeg of laat fout.”

“Zelfs organisaties die toch een VPN gebruiken, MFA of bepaalde permissies beheren, moeten opletten. Heel wat security-tools zijn belangrijk, maar ze juist configureren is nog veel belangrijker. Daarom ben ik nooit echt een fan van privégebruik van een werklaptop. Blijf er gewoon af en hou dat strikt gescheiden.”

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.